BloodHound项目中的Self ACL权限解析与修复

在Active Directory安全评估工具BloodHound及其数据收集组件SharpHound中，近期发现并修复了一个关于Self ACL(访问控制列表)权限的重要问题。这个问题涉及到用户对自身权限的特殊控制场景，对于Active Directory安全评估具有重要意义。

问题背景

在Active Directory环境中，存在一种特殊的权限配置：允许用户将自己添加到特定安全组中。这种权限通过设置特殊的Self ACL实现，其中包含以下关键属性：

• ActiveDirectoryRights: Self
• AccessMask: 8 (对应WRITE_DAC权限)
• SecurityIdentifier: 指向用户自身的SID

这种配置在实际环境中相当常见，特别是在需要用户自助管理组成员身份的业务场景中。然而，在BloodHound 6.4.0和SharpHound v2.5.13版本中，这种权限关系无法被正确识别和展示。

技术细节分析

从技术实现角度看，这个问题源于SharpHound数据收集器对特定类型ACE(访问控制项)的处理逻辑。具体表现为：

1. 当PowerView.ps1的Get-DomainObjectACL命令能够正确识别这种Self ACL时，SharpHound却无法将其转化为BloodHound可识别的边关系。

2. 这种权限的特殊性在于它结合了Self权限和WRITE_DAC访问掩码，形成了一个独特的权限组合，允许主体用户修改自己在目标组中的成员身份。

3. 从安全评估角度，这种权限关系非常重要，因为它实质上提供了权限提升的潜在路径 - 用户可以通过将自己添加到高权限组来提升自己的访问级别。

影响范围

这个bug影响了BloodHound对Active Directory权限关系的完整展示，可能导致安全评估人员遗漏以下重要信息：

1. 用户自助加入组的权限路径
2. 潜在的权限提升路径
3. 访问控制矩阵中的关键边关系

解决方案

该问题已在SharpHound v2.6.7版本中得到修复。新版本改进了ACL解析逻辑，能够正确识别和处理包含Self权限的特殊ACE。升级后，BloodHound现在可以：

1. 正确展示用户到组的Self ACL边关系
2. 在攻击路径分析中考虑这种特殊权限
3. 提供更完整的Active Directory权限图谱

最佳实践建议

对于Active Directory安全评估人员，建议：

1. 及时升级到SharpHound v2.6.7或更高版本
2. 在评估中特别注意Self ACL权限配置
3. 定期审查允许用户自助管理组成员身份的组策略
4. 将这种特殊权限纳入常规权限审计范围

这个修复显著提升了BloodHound在复杂Active Directory环境中的分析能力，使安全团队能够更全面地评估和防护权限提升风险。